一、概述
2019年1月,美國(guó)陸軍研究實(shí)驗(yàn)室(ARL)和Techinica公司達(dá)成合作協(xié)議,針對(duì)美國(guó)國(guó)防部需求研發(fā)一個(gè)智能霧計(jì)算平臺(tái)(Smart Fog)為拒止和競(jìng)爭(zhēng)環(huán)境中的作戰(zhàn)人員提供增強(qiáng)的態(tài)勢(shì)感知能力。2019年5月,美國(guó)ManTech公司推出了霧計(jì)算平臺(tái)“安全戰(zhàn)術(shù)邊緣平臺(tái)”(STEP),這是一種高帶寬、堅(jiān)固、安全和可擴(kuò)展的解決方案,將為嚴(yán)苛環(huán)境中的作戰(zhàn)人員提供實(shí)時(shí)數(shù)據(jù)分析能力。“霧”會(huì)在帶寬有限的戰(zhàn)場(chǎng)上保存和緩存來自傳感器和設(shè)備的數(shù)據(jù),只向云發(fā)送必要的基本信息,最大限度地減少資源并提高安全性。當(dāng)連接穩(wěn)定后,再將完整的數(shù)據(jù)傳到云端。
由此可見,安全性是霧計(jì)算部署實(shí)施過程中的關(guān)鍵問題。系統(tǒng)必須有一個(gè)共同的安全基線,確保基本的互操作性和安全保護(hù)。加密為霧計(jì)算提供了實(shí)現(xiàn)安全服務(wù)的機(jī)制,這些安全服務(wù)包括機(jī)密性、完整性、身份驗(yàn)證和不可否認(rèn)性。加密函數(shù)可以在平臺(tái)安全處理器中實(shí)現(xiàn),以保護(hù)加密密鑰和安全策略,進(jìn)而保護(hù)其他對(duì)象。加密函數(shù)還可用于為受信任的軟件提供安全的執(zhí)行環(huán)境,并保護(hù)其中的存儲(chǔ)和通信。
本文將從節(jié)點(diǎn)安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全三個(gè)方面,分別分析霧計(jì)算在部署實(shí)施過程中遇到的安全問題。
二、節(jié)點(diǎn)安全方面
圖1所示為開放霧節(jié)點(diǎn)的安全架構(gòu),該架構(gòu)可分為四個(gè)水平“區(qū)域”:
自下而上的第一層是硬件層。此處可能存在許多可選的硬件加速器。圖1中顯示的是SoC上的加密設(shè)備,它可能是外部設(shè)備,也可能作為特殊說明出現(xiàn)在處理器ISA中。此處還顯示了其他的通用加速器。系統(tǒng)mmu和iommu也與物理核心一起位于此層。硬件信任根(HW-RoT)也是硬件基礎(chǔ)設(shè)施的一部分,可以嵌在芯片上或提供此功能的外部設(shè)備中。
第二層包含了系統(tǒng)固件、可選ROM和NVRAM平臺(tái)。這些組件的存在及其性質(zhì)取決于平臺(tái)。為了支持HW-RoT和信任鏈的擴(kuò)展,在受信任的系統(tǒng)ROM上必須有一個(gè)不可變的固件,這是開機(jī)后平臺(tái)上執(zhí)行的第一行代碼。
第三層是虛擬層。它實(shí)例化和管理虛擬設(shè)備,例如,圖1所示的vSoC設(shè)備,并將它們按照OAM(操作、維護(hù)和管理)系統(tǒng)的指令分配給虛擬機(jī)。它還實(shí)例化了部分其他虛擬設(shè)備,這些設(shè)備主要包括外部物理設(shè)備(如所示的vNIC)。這些虛擬設(shè)備完全由硬件支持,該硬件可存儲(chǔ)繞過虛擬機(jī)管理程序的數(shù)據(jù)(如SR-IOV兼容設(shè)備)或軟件模擬的虛擬實(shí)例(如共享的硬盤)。如果物理內(nèi)核支持SMT(同時(shí)多線程),那么不論虛擬內(nèi)核是不是硬件線程,它都允許顯示其他虛擬內(nèi)核。
最后一層主要是實(shí)現(xiàn)虛擬機(jī)的實(shí)例化。物理資源在此處由虛擬機(jī)管理程序映射為虛擬資源。虛擬機(jī)中的操作系統(tǒng)管理應(yīng)用的地址空間,這些空間可以實(shí)例化為單獨(dú)的應(yīng)用地址空間或Linux容器。
圖1 開放霧節(jié)點(diǎn)安全架構(gòu)
有許多連接各層并提供系統(tǒng)服務(wù)的函數(shù),這些函數(shù)可以創(chuàng)建由受信任組件組成的安全信任鏈。這些由圖1中各層之間的垂直箭頭表示。
(一)運(yùn)行時(shí)完整性檢查(RTIC)和自省
安全啟動(dòng)或測(cè)量啟動(dòng)不能確保已安全實(shí)例化的軟件在執(zhí)行過程中不出現(xiàn)錯(cuò)誤或被病毒感染。在運(yùn)行過程中進(jìn)行完整性檢查的目的是在執(zhí)行期間監(jiān)控和偵查鏡像中代碼和靜態(tài)數(shù)據(jù)的改變。這是通過在執(zhí)行之前運(yùn)行一組RTIC的特定工具來“理解”圖像構(gòu)造(即代碼和靜態(tài)數(shù)據(jù)頁所在的位置)實(shí)現(xiàn)的。管理程序可以承載RTIC機(jī)制,基本假設(shè)是管理程序本身是受信任的。RTIC僅用于檢查虛擬機(jī)。所使用的機(jī)制大多是被動(dòng)的,因?yàn)轫撁姹韱谓?jīng)過修改后,可以對(duì)不應(yīng)該寫入頁面的內(nèi)容進(jìn)行檢測(cè),這一過程由策略驅(qū)動(dòng)。通常,虛擬機(jī)會(huì)被終止。
目前,這種方法還沒有產(chǎn)品實(shí)現(xiàn),但KVM和Xen管理程序中至少有一個(gè)實(shí)現(xiàn)正在開發(fā)中。
解決此問題的另一種方法是內(nèi)存加密,它可以保護(hù)加密“容器”中的代碼和數(shù)據(jù)免受外部攻擊。盡管這樣,敵方仍然有可能利用漏洞或?qū)ο惹案腥镜溺R像進(jìn)行攻擊。當(dāng)這些“容器”必須走出來以獲取服務(wù)或數(shù)據(jù)時(shí),它們也容易受到漏洞的攻擊。雖然可以以這種方式保護(hù)靜態(tài)和動(dòng)態(tài)的代碼和數(shù)據(jù),但容器之外的代碼和數(shù)據(jù)都不會(huì)受到保護(hù)。
當(dāng)這個(gè)問題有一個(gè)更成熟的解決方案時(shí),霧節(jié)點(diǎn)應(yīng)借助RTIC方法保護(hù)節(jié)點(diǎn)免受危害。公共場(chǎng)所的節(jié)點(diǎn)不一定比保護(hù)區(qū)中的節(jié)點(diǎn)更有用,因?yàn)楣舨⒉灰欢ㄐ枰锢碓L問。
(二)調(diào)試、性能監(jiān)控和分析控制
在系統(tǒng)部署后,應(yīng)關(guān)閉所有形式的調(diào)試(包括硬件和軟件)、性能監(jiān)控和分析控制。這些機(jī)制為具有物理訪問或遠(yuǎn)程訪問的第三方提供了一種技術(shù),以破壞系統(tǒng)的安全機(jī)制,或深入了解系統(tǒng)的行為,從而允許未來的側(cè)信道攻擊。
如果在現(xiàn)場(chǎng)需要其他調(diào)試、監(jiān)控或分析信息,則必須有機(jī)制來確保為合法人員的特定訪問提供安全的授權(quán)。
三、網(wǎng)絡(luò)安全方面
作為在運(yùn)營(yíng)技術(shù)前端設(shè)備和云計(jì)算數(shù)據(jù)中心之間部署的普適計(jì)算基礎(chǔ)設(shè)施,安全的開放霧計(jì)算平臺(tái)不僅能夠提供高度可用的實(shí)時(shí)可信計(jì)算服務(wù),而且還能夠很好地定位以實(shí)施動(dòng)態(tài)多層縱深防御策略,保護(hù)對(duì)我們?nèi)粘I钪陵P(guān)重要的物理網(wǎng)絡(luò)系統(tǒng)。為了完成這一雙重任務(wù),開放霧計(jì)算平臺(tái)必須通過提供網(wǎng)絡(luò)安全性和持續(xù)安全監(jiān)控與管理來加強(qiáng)節(jié)點(diǎn)安全性。
圖2 開放霧計(jì)算安全功能層和操作平面圖
圖2所示為一個(gè)架構(gòu)平面圖,該架構(gòu)提供了具有端到端安全性的兩個(gè)操作平面:安全調(diào)配、安全監(jiān)控和管理,以及三個(gè)功能層:通信安全、服務(wù)安全和應(yīng)用安全。此架構(gòu)符合ITU-X.805建議,也符合開放網(wǎng)絡(luò)基金會(huì)(ONF)建議的軟件定義網(wǎng)絡(luò)體系結(jié)構(gòu)(ONF/SDN)。下面將對(duì)三個(gè)功能層進(jìn)行詳細(xì)闡述。
(一)通信安全層
該層在設(shè)備—霧—云計(jì)算層次結(jié)構(gòu)中的所有實(shí)體之間的物理/虛擬通信信道內(nèi)實(shí)現(xiàn)了X.800中推薦的以下通信安全服務(wù)。
(1)機(jī)密性
? 連接和無連接數(shù)據(jù)的機(jī)密性
? 通信流量機(jī)密性
(2)完整性
? 連接恢復(fù)的完整性
? 具有偵查功能的無連接完整性
? 防重放保護(hù)
(3)可認(rèn)證性
? 無連接通信的數(shù)據(jù)源身份認(rèn)證
? 基于連接的通信對(duì)等實(shí)體認(rèn)證
? 已認(rèn)證的信道訪問控制
(4)不可否認(rèn)性(可選)
? 數(shù)據(jù)源的不可否認(rèn)性
? 目的地的不可否認(rèn)性
設(shè)備—霧—云計(jì)算統(tǒng)一體中發(fā)生的通信可分為三種安全通信路徑:節(jié)點(diǎn)到云的安全通信路徑、節(jié)點(diǎn)到節(jié)點(diǎn)的安全通信路徑和節(jié)點(diǎn)到設(shè)備的安全通信路徑。由于霧節(jié)點(diǎn)通常充當(dāng)云服務(wù)器對(duì)其相關(guān)前端設(shè)備的代理,同時(shí)將這些前端設(shè)備聚合到云服務(wù)器并表示這些前端設(shè)備,因此這些路徑應(yīng)協(xié)作,以保持前端設(shè)備和云服務(wù)器之間的互操作性。以下重點(diǎn)介紹了各種途徑的預(yù)期功能和建議的做法。
圖3 開放霧計(jì)算安全通信路徑
(二)節(jié)點(diǎn)到云的安全通信路徑
為了確保這些通信路徑的安全,霧節(jié)點(diǎn)需要為自己和其所代表的前端設(shè)備實(shí)現(xiàn)所有X.800通信安全服務(wù)(包括不可否認(rèn)性)。應(yīng)使用從霧節(jié)點(diǎn)中安裝的硬件信任根派生的安全憑證實(shí)現(xiàn)強(qiáng)認(rèn)證和不可否認(rèn)服務(wù)。應(yīng)根據(jù)云服務(wù)提供商與霧節(jié)點(diǎn)管理器之間建立的通信安全策略強(qiáng)制實(shí)施信道訪問控制,作為其服務(wù)級(jí)別協(xié)議的一部分。所有的加密操作都應(yīng)由嵌入在霧節(jié)點(diǎn)中的密碼加速器執(zhí)行,而加密密鑰則應(yīng)作為安全監(jiān)控和管理操作的一部分進(jìn)行管控。
這些路徑還有望保留云服務(wù)器使用的因特網(wǎng)通信協(xié)議和API,用于與前端設(shè)備(包括IoT設(shè)備、個(gè)人移動(dòng)設(shè)備、POS終端、獨(dú)立計(jì)算機(jī)和服務(wù)器)進(jìn)行通信。當(dāng)前,幾乎所有這些通信都是通過以下兩個(gè)協(xié)議套件作為Web服務(wù)事務(wù)實(shí)現(xiàn)的。
表1 用于安全節(jié)點(diǎn)到云通信的協(xié)議套件
(三)節(jié)點(diǎn)到節(jié)點(diǎn)的安全通信路徑
分布式霧計(jì)算平臺(tái)可能由跨越多個(gè)子網(wǎng)或管理域的霧節(jié)點(diǎn)層次結(jié)構(gòu)組成,但這些霧節(jié)點(diǎn)需要相互協(xié)調(diào)以實(shí)現(xiàn)特定目標(biāo)。基于事務(wù)的客戶端—服務(wù)器計(jì)算模型和基于事件的發(fā)布—訂閱消息傳遞模式應(yīng)實(shí)現(xiàn)節(jié)點(diǎn)間的信息交換,以實(shí)現(xiàn)直接、及時(shí)的交互。以下協(xié)議套件通常用于實(shí)現(xiàn)這些范例。
表2 用于安全節(jié)點(diǎn)到節(jié)點(diǎn)通信的協(xié)議套件
與節(jié)點(diǎn)到云的路徑一樣,節(jié)點(diǎn)到節(jié)點(diǎn)的路徑期望霧節(jié)點(diǎn)作為通信端來實(shí)現(xiàn)所有X.800的通信安全服務(wù),包括不可否認(rèn)性。應(yīng)使用從霧節(jié)點(diǎn)中安裝的硬件信任根派生的安全憑證實(shí)現(xiàn)強(qiáng)認(rèn)證和不可否認(rèn)服務(wù)。信道訪問控制應(yīng)根據(jù)霧節(jié)點(diǎn)管理器在其服務(wù)層協(xié)議中建立的通信安全策略實(shí)施。所有的加密操作都應(yīng)由嵌入在霧節(jié)點(diǎn)中的密碼加速器執(zhí)行,而加密密鑰則由安全監(jiān)控和管理操作進(jìn)行管控。
(四)節(jié)點(diǎn)到設(shè)備的安全通信路徑
霧節(jié)點(diǎn)通常會(huì)充當(dāng)云服務(wù)器通信的代理,它會(huì)保留前端設(shè)備使用的通信協(xié)議和API。遺憾的是,不同應(yīng)用和通信媒介對(duì)設(shè)備通信協(xié)議的選擇是多種多樣的。通過調(diào)整互聯(lián)網(wǎng)(TCP/UDP/IP)協(xié)議套件,努力實(shí)現(xiàn)無線、有線通信和工業(yè)自動(dòng)化之間的協(xié)議融合。
大多數(shù)X.800通信安全服務(wù)(不包括不可否認(rèn)性)可以借助安全協(xié)議通過有線/無線以太網(wǎng),以及因特網(wǎng)的網(wǎng)絡(luò)和傳輸層實(shí)現(xiàn)。在適應(yīng)因特網(wǎng)協(xié)議的前端設(shè)備中,可以使用頒發(fā)給前端設(shè)備的安全憑據(jù)實(shí)現(xiàn)強(qiáng)認(rèn)證。信道訪問控制可以根據(jù)霧服務(wù)提供商指定的通信安全策略強(qiáng)制執(zhí)行。所有加密操作都可以由前端設(shè)備中加密的嵌入式處理器執(zhí)行,而加密密鑰可以作為安全監(jiān)控和管理操作的一部分進(jìn)行管理。
但是,在許多不精通因特網(wǎng)且資源受限的前端設(shè)備中,只有有限的加密功能(如使用手動(dòng)安裝密鑰的對(duì)稱密碼)可用。這些設(shè)備必須安裝在受物理保護(hù)的通信環(huán)境中,并通過硬件連接到一個(gè)或多個(gè)霧節(jié)點(diǎn),這些節(jié)點(diǎn)可以提供大多數(shù)的X.800通信安全服務(wù)。
隨著對(duì)霧計(jì)算研究的進(jìn)一步深入,研究人員將繼續(xù)擴(kuò)大節(jié)點(diǎn)到設(shè)備通信的覆蓋范圍。
(五)服務(wù)安全層
服務(wù)安全層不僅能夠提供傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備提供的信息安全服務(wù),包括深度數(shù)據(jù)包檢查(DPI)、應(yīng)用層代理、合法消息攔截、入侵檢測(cè)和保護(hù)系統(tǒng)(IPS/IDS)、系統(tǒng)/網(wǎng)絡(luò)事件和狀態(tài)監(jiān)控、內(nèi)容篩選和父母監(jiān)管等,同時(shí),它還可以提供與安全服務(wù)捆綁的各類網(wǎng)絡(luò)服務(wù),包括vRouters、廣域網(wǎng)加速器、網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT)、內(nèi)容交付服務(wù)器。
表3 用于安全節(jié)點(diǎn)到設(shè)備通信的協(xié)議套件
隨著越來越多地使用軟件定義網(wǎng)絡(luò)來替代專用設(shè)備,這些“設(shè)備”越來越多地作為軟件解決方案在虛擬機(jī)和Linux容器中實(shí)現(xiàn)。與上述其他設(shè)備一樣,此類安全設(shè)備通常稱為網(wǎng)絡(luò)功能虛擬化(NFV),或單獨(dú)稱為虛擬網(wǎng)絡(luò)功能(VNF)。這些虛擬網(wǎng)絡(luò)功能以及其他單獨(dú)打包的服務(wù)很可能被鏈接到一個(gè)服務(wù)功能鏈路(SFC)上,并使用網(wǎng)絡(luò)服務(wù)報(bào)頭將數(shù)據(jù)包路由到選定的服務(wù)功能路徑(SFP)中。在許多情況下,人們認(rèn)為這些服務(wù)功能將在開放霧計(jì)算系統(tǒng)中得以實(shí)現(xiàn)。NFV和SFC環(huán)境呈現(xiàn)出了它們自己的一組安全問題,包括許多已經(jīng)討論過的方法,但也引入了下面所討論的一些新挑戰(zhàn)。
提供并保持?jǐn)?shù)據(jù)完整性與機(jī)密性的可信VNF到VNF通信,需要來自平臺(tái)硬件、軟件和固件的許多功能提供支持。除了從信任的硬件根開發(fā)出信任鏈外,還需要具備以下功能:
(1)基于VNF + CA建立身份的安全密鑰供應(yīng)
? 虛擬網(wǎng)絡(luò)功能(VNFC)的身份認(rèn)證
? 非對(duì)稱加密
(2)批量數(shù)據(jù)加密
? 對(duì)稱加密
(3)安全持久的密鑰存儲(chǔ)
? 針對(duì)私鑰
(4)受信任的VNF到OAM/MANO通信(完整性、機(jī)密性)
? 安全軟件更新
? (與上述預(yù)配相同)
(5)認(rèn)證
? 雙方均處于安全狀態(tài)
除此之外,研究人員還需要在以下領(lǐng)域針對(duì)安全問題引入更多的思考:
(1)服務(wù)覆蓋:服務(wù)功能轉(zhuǎn)發(fā)器(SFF)的傳輸轉(zhuǎn)發(fā)
? 在服務(wù)功能(SF)/VNF之間使用數(shù)據(jù)包進(jìn)行加密
? 服務(wù)功能轉(zhuǎn)發(fā)器必須對(duì)服務(wù)功能/VNF端點(diǎn)進(jìn)行身份認(rèn)證
(2)啟用服務(wù)功能鏈路的域邊界
? 在邊界認(rèn)證受信任方:防止欺騙和DdoS攻擊
(3)分類
? OAM對(duì)分類策略的認(rèn)證和授權(quán)
(4)服務(wù)功能鏈路封裝
? 元數(shù)據(jù)需要驗(yàn)證其來源
? 敏感元數(shù)據(jù)的選擇性共享:加密或轉(zhuǎn)換
此外,網(wǎng)絡(luò)服務(wù)報(bào)頭(NSH)提供了創(chuàng)建動(dòng)態(tài)關(guān)系的功能,這些動(dòng)態(tài)關(guān)系可能無法提前進(jìn)行身份認(rèn)證,并且可能由服務(wù)功能轉(zhuǎn)發(fā)器來實(shí)現(xiàn)。
(1)任何服務(wù)功能或服務(wù)功能轉(zhuǎn)發(fā)器都可以動(dòng)態(tài)更新服務(wù)功能路徑。
(2)服務(wù)功能路徑可以在自身路徑中列出多種服務(wù)功能。
另外:
網(wǎng)絡(luò)服務(wù)報(bào)頭可以包含任意(固定或可變長(zhǎng)度)的元數(shù)據(jù)字段,由原始分類器添加,或者由服務(wù)功能、服務(wù)功能轉(zhuǎn)發(fā)器在遍歷服務(wù)功能路徑時(shí)添加。它們用于傳達(dá)可能對(duì)鏈中其他服務(wù)功能有用的環(huán)境信息。
這引入了另一個(gè)數(shù)據(jù)機(jī)密性和隱私條件。由于元數(shù)據(jù)可以包含服務(wù)功能路徑認(rèn)為必要組件所需的任何數(shù)據(jù),因此還不清楚如何有選擇性地在供應(yīng)鏈中隱藏(或加密)一些字段(當(dāng)數(shù)據(jù)包中的信息包含了服務(wù)提供商、用戶或部門信息時(shí),這其中的一些信息是專有的、加密的或敏感的),現(xiàn)有架構(gòu)還沒有解決這些問題,這是一個(gè)復(fù)雜的問題,包含了許多動(dòng)態(tài)變化、且未知的參與者。
四。數(shù)據(jù)安全方面
駐留在系統(tǒng)中的數(shù)據(jù)一般有三類:處理過程中存在于內(nèi)存中的數(shù)據(jù)、存儲(chǔ)在非易失性內(nèi)存上的數(shù)據(jù),以及網(wǎng)絡(luò)接口中所發(fā)送/接收的數(shù)據(jù)。本節(jié)將對(duì)如何保護(hù)這三種數(shù)據(jù)的安全性進(jìn)行介紹。
(一)使用數(shù)據(jù)
在處理過程中,數(shù)據(jù)駐留在內(nèi)存系統(tǒng)層次結(jié)構(gòu)(例如SRAM、DRAM、緩存、交換空間等)中。其中一些數(shù)據(jù),例如密鑰材料、個(gè)人數(shù)據(jù)、公司專有數(shù)據(jù),甚至專有算法都被視為機(jī)密信息,需要受到保護(hù),以免被未授權(quán)方讀取或更改。如前所述,內(nèi)存管理單元(例如mmu、iommu、smmu)可用于保護(hù)內(nèi)存免受來自其他地址空間(如虛擬機(jī))或設(shè)備(物理或邏輯/虛擬)的未授權(quán)訪問。讀/寫/無執(zhí)行頁面屬性位還提供了地址空間內(nèi)的受限訪問。管理程序可以通過抽象和虛擬化硬件來添加一些額外的保護(hù),這些硬件可以直接影響另一臺(tái)虛擬機(jī)的執(zhí)行環(huán)境。
駐留在交換空間上的內(nèi)存也應(yīng)該受到保護(hù)。其目的是防止未授權(quán)方讀取磁盤上的頁面數(shù)據(jù),例如,刪除數(shù)據(jù)并在另一個(gè)系統(tǒng)上讀取它。這可以通過加密來實(shí)現(xiàn)。整體磁盤加密是在相對(duì)較低的成本下提供此功能的一種方法。
使用外部硬件調(diào)試器(如JTAG)和軟件調(diào)試器訪問內(nèi)存不應(yīng)該在該領(lǐng)域的生產(chǎn)系統(tǒng)中啟用。在離開實(shí)驗(yàn)室或受控環(huán)境時(shí),應(yīng)始終關(guān)閉JTAG。當(dāng)需要調(diào)試時(shí),如果允許,則在字段中必須設(shè)置控件,以確保只有授權(quán)用戶才能使用調(diào)試接口,并且對(duì)其他所有訪問禁用。
對(duì)使用中的數(shù)據(jù)進(jìn)行安全保護(hù)還會(huì)涉及到對(duì)加密內(nèi)存的機(jī)密性和完整性進(jìn)行保護(hù)。內(nèi)存加密用于在執(zhí)行期間提供代碼和數(shù)據(jù)的機(jī)密性。它用于保護(hù)內(nèi)存中的秘密信息,即使系統(tǒng)的其它部分已遭到破壞,內(nèi)存中的信息依然受到保護(hù)。使用內(nèi)存加密是基于這樣一個(gè)事實(shí):只有CPU包被認(rèn)為是可信的——而內(nèi)存不可信。它還有另外一個(gè)作用,可以防止攻擊者將代碼注入正在運(yùn)行的鏡像,因?yàn)榻饷軙?huì)導(dǎo)致代碼損壞和程序失敗。
由于其速度快,內(nèi)存加密方案通常使用對(duì)稱密鑰加密。此功能需要額外的硬件支持,包括駐留在內(nèi)存管理子系統(tǒng)中的加密設(shè)備、支持加密硬件管理的操作系統(tǒng),以及與加密內(nèi)存相關(guān)的密鑰管理方法。內(nèi)存加密并非沒有成本。當(dāng)內(nèi)存被提取到緩存并從緩存寫入內(nèi)存時(shí),內(nèi)存的動(dòng)態(tài)加/解密會(huì)影響內(nèi)存響應(yīng)時(shí)間。在霧計(jì)算環(huán)境中,內(nèi)存加密技術(shù)對(duì)某些類別的數(shù)據(jù)和某些應(yīng)用具有明顯的安全優(yōu)勢(shì)。它可以在威脅分析證明合理的情況下使用。
(二)靜止數(shù)據(jù)
靜止數(shù)據(jù)是指駐留在硬盤、固態(tài)硬盤(SSD)、優(yōu)盤、CD、DVD等非易失性存儲(chǔ)上的數(shù)據(jù)。加密是針對(duì)靜態(tài)數(shù)據(jù)的前沿防御。在其他類型的數(shù)據(jù)中,它保護(hù)個(gè)人身份信息(隱私)和其他敏感數(shù)據(jù)(機(jī)密性),對(duì)具有正確密鑰的人進(jìn)行限制性訪問,阻止沒有密鑰的用戶訪問數(shù)據(jù),避免存儲(chǔ)介質(zhì)受到某種形式的物理損壞。
它還滿足許多合規(guī)性要求,消除了有關(guān)存儲(chǔ)介質(zhì)停用的任何顧慮,以及未經(jīng)授權(quán)訪問可能帶來的物理威脅——即使具有物理訪問權(quán)限的人員離開了霧節(jié)點(diǎn)驅(qū)動(dòng)器,他們也將喪失訪問權(quán)限。
加密本身是不夠的——密鑰、策略和證書必須在安全存儲(chǔ)中進(jìn)行主動(dòng)管理,以確保它們不會(huì)被泄露,并且不會(huì)落入壞人之手。系統(tǒng)管理員應(yīng)該設(shè)置一個(gè)流程,用于監(jiān)視從數(shù)據(jù)庫、應(yīng)用和OS/文件系統(tǒng)中訪問數(shù)據(jù)的人員、內(nèi)容、位置、時(shí)間和方式等信息,以及監(jiān)控對(duì)敏感信息的訪問和未經(jīng)授權(quán)的訪問嘗試。所有安全事件都需要記錄以便OAM系統(tǒng)進(jìn)行后續(xù)的分析取證。通過管理程序的實(shí)例化,以及虛擬機(jī)中操作系統(tǒng)和應(yīng)用程序的實(shí)例化,安全數(shù)據(jù)必須建立在一個(gè)安全的信任鏈上。
通常有三種保護(hù)和加密靜態(tài)數(shù)據(jù)的方法:
(1)全磁盤加密
盡管軟件磁盤加密實(shí)現(xiàn)也存在,但在磁盤固件中通常使用基于硬件的加密機(jī)制來實(shí)現(xiàn)全磁盤加密。它的工作原理是自動(dòng)加密寫入磁盤的所有數(shù)據(jù),并自動(dòng)解密從磁盤讀取的所有數(shù)據(jù)。這兩種操作都依賴于擁有正確的身份認(rèn)證密鑰。如果沒有正確的認(rèn)證密鑰,即使刪除了硬盤驅(qū)動(dòng)器,運(yùn)行相同或不同軟件的另一臺(tái)機(jī)器也無法讀取它。全磁盤加密的優(yōu)點(diǎn)是它不需要軟件或OAM系統(tǒng)的特別注意。如果使用軟件加密,因?yàn)橛脖P上的所有東西(包括操作系統(tǒng))都加密了,加/解密過程可能會(huì)增加數(shù)據(jù)訪問時(shí)間。全磁盤加密對(duì)位于公共場(chǎng)合(如商場(chǎng)、燈柱、街角、路邊、車輛等)的霧設(shè)備最有用。由于一個(gè)密鑰用于加密整個(gè)硬盤驅(qū)動(dòng)器,所以O(shè)AM系統(tǒng)應(yīng)該提供一個(gè)加密密鑰備份機(jī)制,以防止系統(tǒng)由于某種原因變得不可用,同時(shí)需要提供數(shù)據(jù)檢索功能以及安全備份。
(2)文件系統(tǒng)(和數(shù)據(jù)庫)加密
文件系統(tǒng)級(jí)加密提供了一種方法,可以使用單獨(dú)的基于密鑰的訪問和身份認(rèn)證機(jī)制來保護(hù)文件或目錄/文件夾上的特定文件。當(dāng)存儲(chǔ)在磁盤(或其他媒體)上的單個(gè)文件需要保護(hù)時(shí),甚至需要防止其他應(yīng)用(或用戶)訪問完全加密的磁盤。在使用中,文件使用對(duì)稱文件加密密鑰(FEK)加密。FEK則使用所有者的公鑰進(jìn)行加密。加密的FEK與加密的文件一起存儲(chǔ)。要解密文件,文件系統(tǒng)首先使用與所有者公鑰匹配的私鑰對(duì)嵌入的FEK進(jìn)行解密,然后使用FEK解密文件。整個(gè)數(shù)據(jù)庫、單條記錄或記錄中的字段也可以進(jìn)行加密。文件系統(tǒng)加密可以由運(yùn)行在相同虛擬機(jī)中的應(yīng)用使用,這些應(yīng)用中的數(shù)據(jù)是專有的,或者包含了其他敏感數(shù)據(jù)或私有數(shù)據(jù)的文件。
(3)文件系統(tǒng)訪問控制機(jī)制
文件系統(tǒng)訪問控制機(jī)制通過USERID或GROUPID限制對(duì)特定文件或文件組的訪問。所有現(xiàn)代文件系統(tǒng)都以某種方式控制文件權(quán)限。應(yīng)用于權(quán)限組的基本文件權(quán)限是權(quán)限類型。
權(quán)限組——每個(gè)文件和目錄都有三個(gè)基于用戶的權(quán)限組:
? 所有者:所有者權(quán)限僅適用于文件或目錄的所有者,它們不會(huì)影響其他用戶的操作。
? 組:組權(quán)限僅適用于已分配給文件或目錄的組,它們不會(huì)影響其他用戶的操作。
? 所有用戶:所有用戶權(quán)限適用于系統(tǒng)上的所有其他用戶,這通常是最重要的權(quán)限組。
權(quán)限類型——每個(gè)文件或目錄都有三種基本權(quán)限類型:
? 讀:讀權(quán)限是指用戶讀取文件內(nèi)容的能力。
? 寫:寫權(quán)限是指用戶寫入或修改文件或目錄的能力。
? 執(zhí)行:執(zhí)行權(quán)限影響用戶執(zhí)行文件或查看目錄內(nèi)容的能力。
這些機(jī)制是定義USERID和GROUPID的操作系統(tǒng)環(huán)境中的重要控件。通常為管理員。在為特定操作系統(tǒng)文件環(huán)境設(shè)置USERID和/或GROUPID時(shí),將通過OAM操作指定訪問權(quán)限。如果不同的應(yīng)用在相同的操作系統(tǒng)環(huán)境中運(yùn)行,每個(gè)應(yīng)用需要對(duì)共享文件系統(tǒng)中的數(shù)據(jù)進(jìn)行不同的訪問(例如,對(duì)于某些應(yīng)用來說是只讀的,對(duì)于數(shù)據(jù)生成應(yīng)用來說是可讀寫的),那么這一點(diǎn)會(huì)非常重要。
(三)動(dòng)態(tài)數(shù)據(jù)
動(dòng)態(tài)數(shù)據(jù),有時(shí)稱為傳輸中的數(shù)據(jù),用于描述網(wǎng)絡(luò)接口(包括虛擬網(wǎng)絡(luò)接口)與霧節(jié)點(diǎn)之間發(fā)送和接收的數(shù)據(jù)包,即通過網(wǎng)絡(luò)傳輸?shù)男畔ⅰO到y(tǒng)管理員應(yīng)該使用VPN、SSL或其他技術(shù)為所有正在運(yùn)行的敏感信息或私有數(shù)據(jù)進(jìn)行加密,以保護(hù)數(shù)據(jù)在傳輸過程中不被破壞或以明文形式顯示。
對(duì)于動(dòng)態(tài)數(shù)據(jù)的保護(hù),可以使用兩種方法進(jìn)行加密:使用加密連接或使用加密文件。加密連接是指通過網(wǎng)絡(luò)連接發(fā)送的任何內(nèi)容都自動(dòng)加密,而不管要發(fā)送的信息的加密狀態(tài)如何。例如,如果發(fā)送一個(gè)已經(jīng)加密的文件,它將在發(fā)送時(shí)再次加密(使用不同的密鑰)。在傳輸過程中,后續(xù)數(shù)據(jù)的另一種安全方法是使用已加密的文件。由于加密的文件以加密的形式存在,所以它總是加密的,因此是受保護(hù)的。
五。結(jié)語
目前,霧計(jì)算安全的研究還剛剛起步,對(duì)于用戶而言,在享受高速率、低延遲和響應(yīng)時(shí)間的高質(zhì)量服務(wù)的同時(shí),還需要避免用戶數(shù)據(jù)在傳輸過程中被竊聽和盜用,因此,研究人員需要在分析霧計(jì)算系統(tǒng)特征的基礎(chǔ)上,深入研究霧計(jì)算安全所涉及的關(guān)鍵技術(shù),從節(jié)點(diǎn)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等三個(gè)方面研究數(shù)據(jù)安全保護(hù)解決方案,針對(duì)不同的數(shù)據(jù)類型找到合適的加密算法,實(shí)現(xiàn)對(duì)霧計(jì)算中數(shù)據(jù)安全的保障。
